年末年始における情報セキュリティに関する注意喚起
第13-40-307号
掲載日:2013年12月20日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター(IPA/ISEC)
1.システム管理を担当されている方へ
~ 年末年始の長期休暇前の対策について ~
年末年始の長期休暇中は、システム管理者が不在になることが多くなると思われます。この間にトラブルが発生した場合、対処が遅れてしまい、自社のコンピュータ環境に大きな被害が及んだり、顧客に対してもウイルス感染の被害が及んだりする可能性があります。
最近の攻撃手口やウイルス感染後の被害事例としては、以下のようなものがあります。
-
ウェブサイトからのウイルス感染 [対策事項1該当No.:1、2、3、4]
ウェブサイトを閲覧した利用者のパソコンにウイルスを感染させる手口として、ウェブサイトを見ただけで利用者のパソコンにウイルスなどの不正プログラムがダウンロードされてしまう“ドライブ・バイ・ダウンロード”攻撃が主流となっている。この場合のウェブサイトは悪意ある者により改ざんされている。ウェブサイトが改ざんされるケースには、システム管理者やウェブサイト管理者が気付かない内に攻撃者によりウェブサイト自体を改ざんされてしまうケースと、ウェブページに表示するバナー広告を配信する事業者のウェブサーバーが改ざんされた結果、バナー広告を掲出している企業もウイルスに感染させられてしまうケースとがある。
-
ID、パスワードの不正利用 [対策事項1該当No.:8]
複数の業務アカウントやインターネットサービスにおいて、同じIDやパスワードを使用していたために1つのサービスでIDやパスワードを含む個人情報が流出した場合に、そのIDやパスワードが悪用され、他の業務システムやインターネットサービスを不正に利用されてしまう。
また、流出したIDとパスワードを自動的に連続入力するプログラムなどを用いて、ウェブサイトにログインを試みるパスワードリスト攻撃を受ける。
-
標的型攻撃メール [対策事項1該当No.:1、2、3、4、9]
“標的型攻撃メール”は攻撃対象の組織や個人を絞り、相手が開封してしまうようなタイトル、文面等が特別に作成、送信されます。うっかり信じたために、メールの添付ファイルを開いたり、メール本文に書かれているリンクをクリックしたりしてしまうと、パソコンがウイルスに感染し、内部システムへ侵入するための足掛りとして攻撃者に悪用されてしまう場合がある。
-
組織情報漏えい被害 [対策事項1該当No.:1、2、3、4、5、7]
従業員が休暇中に自宅で仕事をするために、秘密情報や顧客の個人情報をパソコンやUSBメモリ、CD/DVD等の外部記憶媒体で組織外に持ち出し、私用パソコン等個人の環境で使用した場合、Winny等のファイル共有ソフト経由で情報が漏えいしたり、パソコンやスマートフォン、タブレットや外部記憶媒体そのものの紛失や盗難により組織外に持ち出した情報が漏えいしたりしてしまう。
-
DoS攻撃(サービス妨害攻撃) [対策事項1該当No.:1、6、8、9]
ウェブサービスに大量のアクセスを受けることでサービスの停止や大幅な遅延に陥る、いわゆるDoS攻撃(サービス妨害攻撃)を受ける。
-
SQLインジェクション攻撃 [対策事項1該当No.:1、9]
ウェブアプリケーションにおけるSQL文は、利用者の入力を基に生成されている。この生成方法に問題があると、SQL文がデータベースへの問い合わせ文の一部として埋め込まれて(Injection)しまう可能性がある。この問題を悪用した攻撃はSQLインジェクション攻撃と呼ばれる。この攻撃により、データベースに蓄積された情報の漏えい・改ざん、不正操作などの被害を受けるケースがある。
システム管理者、ウェブサイト管理者の方は、このような攻撃や被害を予防するため、以下の対策事項1を休暇前に実施してください。
対策事項1
1.
|
[緊急対応体制、盗難・紛失時の連絡体制] (ご参考:1)
不測の事態が発生した場合に備えて、委託先企業を含めた緊急連絡体制や、パソコン、スマートフォン、タブレットの盗難・紛失時の連絡体制などの対応手順が明確になっているか再確認してください。
|
2.
|
[最新バージョンの利用] (ご参考:2、3、4、5、12)
管理しているサーバやパソコンのOS(オペレーティングシステム)に修正プログラムを適用し、最新のバージョンに更新することで、ぜい弱性を解消してください。Windows ユーザーは、「Windows Update」や 「Microsoft Update」を利用してください。
利用の手順:
http://www.microsoft.com/japan/security/bulletins/j_musteps.mspx
Mac ユーザーは、「ソフトウェア・アップデート」を利用してください。
利用の手順:
http://support.apple.com/ja_JP/downloads/
|
3.
|
[修正プログラムの適用] (ご参考:2、3、4、5、12)
管理しているサーバーやパソコンのアプリケーションソフト(インターネット閲覧ソフト、メールソフト、動画閲覧ソフト、ドキュメントファイル閲覧ソフト、CMS[Content Management System]、サーバー管理ツール等)に修正プログラムを適用し、最新のバージョンに更新してください。
|
4.
|
[パターンファイルの更新] (ご参考:4、5、12)
管理しているサーバーやパソコンで使用しているウイルス対策ソフトの定義ファイル(パターンファイル)を最新な状態に設定すると共に、休み明けにも確認してください。
|
5.
|
[情報持出しルールの徹底] (ご参考:1)
業務用のパソコンやスマートフォン、タブレットやデータ等を組織外に持ち出す場合のルールを明確にし、従業員に再徹底してください。また、パソコンやスマートフォン、タブレットに本来入れてはいけないデータが入っていないか、貸し出す前にその都度確認してください。また、個人が所有するパソコンやスマートフォン、タブレットを業務に活用している場合、組織のルールから逸脱していないか確認してください。
パソコン、スマートフォン、タブレットやデータを保管したUSBメモリ等の外部記憶媒体を紛失した場合に備え、適切な暗号化を施してください。また、その手続きが適切に運用されているかを確認してください。
|
6.
|
[アクセス権限の再確認] (ご参考:7)
組織の情報システムにアクセスできる権限が適切に割り当てられているか再確認してください。
外部から接続できるサーバで不要なサービスが動作していないか再確認してください。
休暇中に使用しないサーバやパソコンの電源は切るよう従業員に再徹底してください。
|
7.
|
[情報取扱いルールの徹底] (ご参考:8)
Winny等のファイル共有ソフトによる情報漏えいが起きないよう、業務関係の情報を扱う場合の注意点を従業員に再徹底してください。なお、IPAではファイル共有ソフト(Winny、Winnyp、Share)による『情報漏えい』を防ぐためのソフトウェアを公開中です。ぜひご活用ください。
情報漏えい対策ツール:
http://www.ipa.go.jp/security/winny119/
|
8.
|
[パスワード管理の徹底] (ご参考:4、9、13)
業務で使用しているIDやパスワードと同じものを他の業務や私的に利用しているインターネットサービスなどでも使っている場合、速やかにパスワードを変更してください。
また、パスワードを初期設定のままで利用していないかどうか確認してください。
|
9.
|
[サイバー攻撃対策の点検] (ご参考:1、6、7、9、10、11)
現在運用しているシステムやサービスについて、サイバー攻撃への対策状況を点検し、対策の強化が必要であれば早急に実施してください。
IPAでは、対策の方法として、組織におけるシステムやネットワークのセキュリティ対策状況を確認するための「チェックリスト」を、以下のページに載せています。ぜひご活用ください。
情報窃取を目的としたウェブサイトへのサイバー攻撃に関する注意喚起:
http://www.ipa.go.jp/security/topics/alert230527.html
|
(ご参考)
2.企業でパソコンを利用される方へ
~ 長期休暇明けの対応について ~
企業でパソコンなどの端末を使用している方は、以下の対策事項2を実施してください。特に休暇明けは、OSやアプリケーションソフトの修正プログラムや、ウイルス対策ソフトの定義ファイルが更新されている場合があるため対応が必要です。
対策事項2
1.
|
[修正プログラムの適用] (ご参考:1、2、7)
休暇中にOSやアプリケーションソフトの修正プログラムが公開される可能性があります。休暇明けには、修正プログラムの有無を確認し、必要な修正プログラムを適用してください。なお、更新を行う場合は、システム管理者の指示に従ってください。
|
2.
|
[パターンファイルの更新] (ご参考:1、2、7)
休暇中に電源を切っていたパソコンは、ウイルス対策ソフトの定義ファイル(パターンファイル)が休暇前の古いままになっていることがあります。電子メールを送受信したりウェブサイトを閲覧したりする前にウイルス対策ソフトの定義ファイルを更新し、最新の状態にしてください。
|
3.
|
[利用前のウイルスチェック] (ご参考:3)
休暇中に持ち出したパソコンや、データを格納していたUSBメモリ等の外部記憶媒体にウイルスが感染している可能性があります。ウイルスチェックを行ってから使用してください。
なお、WindowsパソコンにはUSBメモリ等の外部記憶媒体を接続したとき、自動的に外部記憶媒体が実行する機能がありますが、この機能が悪用されてパソコンがウイルスに感染してしまうことがあります。この機能は、無効にすることができます。自動実行機能を無効にする場合は、システム管理者の指示に従ってください。
|
4.
|
[メールの取り扱いの徹底] (ご参考:4、5、6、7)
特定の企業や組織を装い、ウイルスメールを送りつける“標的型攻撃”が多く見受けられます。当該メールは、政府機関や関連企業を思わせる組織名やメールアドレスを詐称し、一見もっともらしいタイトルや本文、業務に関連するキーワードを使ったリンク、マイクロソフトワード文書やエクセルファイルなどに見せかけた(実はウイルス)ファイルの添付など、メール受信者がうっかり信じて開封するよう騙そうとします。添付ファイルを開いたり、リンクをクリックしたりすることで、パソコンがコンピュータウイルスに感染する可能性があります。少しでも不自然だと感じたメールの添付ファイルやリンクは、絶対開いたりクリックしたりしないでください。
|
※ コンピュータウイルスや不正アクセスの届出・相談はこちらにお願いいたします。
●コンピュータウイルスに関する届出について
http://www.ipa.go.jp/security/outline/todokede-j.html
●不正アクセスに関する届出について
http://www.ipa.go.jp/security/ciadr/index.html
●コンピュータウイルスや不正アクセスの相談について
http://www.ipa.go.jp/security/anshin/
※ 標的型メール攻撃の情報提供や相談はこちらにお願いいたします。
●標的型サイバー攻撃の特別相談窓口
http://www.ipa.go.jp/security/tokubetsu/
(ご参考)
3.ご家庭でパソコンを利用される方へ
~ ウイルス感染やワンクリック請求の被害等に遭わないように ~
最近、以下のようなトラブルに見舞われる例が増えています。
-
インターネットバンキングを狙ったウイルスの感染 [対策事項3該当No.:1、8]
パソコンでインターネットバンキングにログインすると、ウイルスが不正なポップアップ画面を表示して、合言葉や乱数表を利用者に入力させようとする。
-
「偽セキュリティ対策ソフト」型ウイルスやランサムウェアの感染 [対策事項3該当No.:1、3]
ウイルス感染により以下のような現象を引き起こします。
- 偽セキュリティ対策ソフト:インターネットの利用中に突然、“ウイルスに感染している”、“ハードディスク内にエラーが見つかりました”といった偽の警告画面が表示して、それらを解決するため有償版製品の購入を迫るメッセージを表示させるウイルス
- ランサムウェア:パソコン内のファイルやフォルダを勝手に暗号化して、元に戻させるためにお金を支払うように脅迫するウイルス
-
ワンクリック請求被害 [対策事項3該当No.:3、6]
アダルトサイトで無料の動画を見ようと画像をクリックして、次へ次へと進んで行ったところ、有料のサービスに会員登録してしまい、パソコン画面に料金請求画面が出続ける、いわゆる「ワンクリック請求」の被害に遭う。
-
ウェブサイトからのウイルス感染 [対策事項3該当No.:1、3]
パソコンに脆弱性が残ったままの状態で、改ざんされたウェブサイトを閲覧すると、パソコンがウイルスに感染してしまう、“ドライブ・バイ・ダウンロード”攻撃。
-
ID、パスワードの「使いまわし」による不正利用被害 [対策事項3該当No.:7]
私的に利用している複数のインターネットサービスに同じパスワードを設定してしまうと、あるサービスからパスワードが漏えいした場合、同じパスワードを用いていた他の複数のサービスにもログインできてしまい、芋づる式に不正利用されてしまう。
-
外部記憶媒体等からウイルス感染 [対策事項3該当No.:1、2、3]
ウイルスに感染したUSBメモリ等の外部記憶媒体を使用することでパソコンにも感染が広がる。
-
SNSからウイルス感染 [対策事項3該当No.:1、3、5]
SNS(ソーシャルネットワーキングサービス)の利用者増加に伴い、SNS利用者を狙った攻撃が増加している。例えば、Twitterにおいて、本来のURLがわからない"短縮URL"をクリックさせることで悪意のあるウェブサイトに誘導させられてしまう。
-
情報漏えい被害 [対策事項3該当No.:1、2、3、4]
休暇中、自宅で仕事をするために、勤務先のパソコンを自宅のネットワークに接続したり、USBメモリ等の外部記憶媒体に勤務先のデータを入れ持ち帰り、自宅のパソコンで扱った際、それが原因でウイルスに感染したり、ウイルス感染による不正アクセス被害に遭い、情報漏えいしてしまう。
休暇中は、時間に余裕があり、インターネットを利用する機会も多くなると思われます。上述の被害例などのウイルス感染の被害に遭わないよう、以下の対策事項3を実施してください。
対策事項3
1.
|
[最新バージョンの利用や修正プログラムの適用] (ご参考:1、2、9、10、14)
使用しているパソコンの OS(オペレーティングシステム)に修正プログラムを適用し、最新のバージョンに更新することで、ぜい弱性を解消してください。 Windows ユーザーは、「Windows Update」や 「Microsoft Update」を利用してください。
利用の手順:
http://www.microsoft.com/japan/security/bulletins/j_musteps.mspx
Mac ユーザーは、「ソフトウェア・アップデート」を利用してください。
利用の手順:
http://support.apple.com/ja_JP/downloads/
また、使用しているパソコンのアプリケーションソフト(インターネット閲覧ソフト、メールソフト、動画閲覧ソフト、ドキュメントファイル閲覧ソフト等)にも修正プログラムを適用し、最新のバージョンに更新してください。さらに、ウイルス対策ソフトの定義ファイル(パターンファイル)を常に最新の状態にして使用してください。
|
2.
|
[USBメモリ等の取り扱いの徹底] (ご参考:4)
所有者が不明もしくは自身が管理していないUSBメモリ等の外部記憶媒体は自身のパソコンに接続しない、また自身が管理していないパソコンに自身の外部記憶媒体を接続しない、などでウイルス感染を防いでください。
なお、WindowsパソコンにはUSBメモリ等の外部記憶媒体を接続したとき、自動的に外部記憶媒体が実行する機能がありますが、この機能が悪用されてウイルスに感染してしまうことがあります。この機能は無効にすることができます。
|
3.
|
[必要データのバックアップの推奨] (ご参考:3、5)
ウイルス感染等でパソコンそのものが動かなくなってしまう場合に備え、必要なデータは外部記憶媒体等へバックアップすることをお勧めします。
特にランサムウェアと呼ばれるウイルスに感染すると、ウイルス自体を駆除しても、ファイルやフォルダは暗号化されたままの状態となって元に戻せない可能性があります。
|
4.
|
[情報取扱いルールの徹底] (ご参考:6)
Winny等のファイル共有ソフトを使っているパソコンが、Antinny等の暴露ウイルスに感染すると、パソコン内に保存してあるファイルがインターネット上に流出してしまいます。業務関係のデータを扱ったことのあるパソコンでWinny等のファイル共有ソフトを使うのは情報漏えいの危険性が高いのでやめましょう。家族と共用しているパソコンの場合、自分がファイル共有ソフトを使っていなくても家族が使えば情報漏えいする可能性がありますので、業務関係のデータを共用パソコンで扱うのは絶対に避けるべきです。
IPAでは、ファイル共有ソフト(Winny、Winnyp、Share)による『情報漏えい』を防ぐためのソフトウェアを公開中です。ぜひご活用ください。
情報漏えい対策ツール:
http://www.ipa.go.jp/security/winny119/
|
5.
|
[SNS利用上の注意] (ご参考:7、13)
SNS(ソーシャルネットワーキングサービス)は、人と人とのコミュニケーションツールであり、信頼関係で成り立っていますが、それを悪用して相手の個人情報を収集したり、ウイルスに感染させたりしようとする人もいます。SNSにおいて他人のページ等に書かれているURLを不用意にクリックしないようにしましょう。特にTwitterでは、本来のURLがわからない"短縮URL"を悪用した攻撃が確認されています。不用意に"短縮URL"をクリックしないようにしましょう。また、SNSから情報を発信する場合は、情報公開の範囲を確認し、不用意に情報が公開されてしまうことのないようにしましょう。
|
6.
|
[ウェブサイト利用時の注意] (ご参考:3)
「ワンクリック請求」などの年齢確認の同意を求める、『はい』か『いいえ』のボタンをクリックさせる画面が表示された場合、年齢確認以外にウェブサイト利用時の規約も表示されていますので、この利用規約をよく読み、その先のウェブサイトの利用を判断してください。利用規約内に料金が明示されていれば有料サイトかもしれませんので、トラブルに巻き込まれたくなければ、それ以上先に進まず、そのウェブサイトの利用は中止することをお勧めします。
|
7.
|
[パスワード管理の徹底] (ご参考:8)
複数のインターネットサービスで同じIDやパスワードを使っている場合、異なるパスワードに変更してください。
|
8.
|
[インターネットバンキング利用時の注意] (ご参考:11、12)
インターネットバンキングなどの金融機関が、第二認証情報(乱数表や合言葉など)すべての入力を利用者に求めることはありません。第二認証情報「すべて」の入力を促す画面が表示された場合は、絶対に情報を入力しないようにしてください。
通常の利用時と異なる入力の要求があった場合は、入力せずに、サービス提供元に電話などで確認をしてください。
|
万が一、ワンクリック請求の被害に遭い、パソコンのデスクトップ上に請求画面等が表示されてしまった場合は、あわてずに以下の注意事項を守ってください。
注意事項
(ご参考)
4.スマートフォン、タブレットを利用される方へ
~ 不正アプリの被害に遭わないように ~
スマートフォンやタブレットで使用するアプリには、電話帳に登録されたすべての名前や電話番号、メールアドレスの情報を窃取するなど不正なものが存在します。また、アダルトサイト利用料金の請求画面を表示するワンクリック請求アプリによる被害の相談も寄せられています。
スマートフォンやタブレットは、パソコンに近い高機能を持ち、かつ持ち運びに便利なため、移動中でも積極的に利用されています。特に、勤務先のデータへのアクセスが許可されている場合は、注意が必要です。上述した不正アプリの被害に遭わないよう、以下の対策事項4を実施してください。
対策事項4
1.
|
[スマートフォン、タブレット使用ルールの徹底] (ご参考:1、2、3)
スマートフォンやタブレットで使用するアプリには、内部の情報を窃取するものが存在します。個人利用のスマートフォンやタブレットを業務に利用している場合は、所属する組織の業務規程に従ってください。
|
2.
|
[スマートフォン、タブレット使用時の注意] (ご参考:1、2、3、4、5、6)
不正アプリのインストールを防ぐためには、パソコンと同様に信頼できない場所からアプリをダウンロードしないことが重要です。さらに、アプリをインストールする際に表示される「パーミッション」(アプリがスマートフォンやタブレットのどの情報/機能にアクセスするのか、許可を定義したもの)の一覧には必ず目を通し、不自然なアクセス許可や求めているアクセス許可を疑問に感じた場合には、そのアプリのインストールを中止しましょう。
また、スマートフォンやタブレットを机などに置いたままでその場を離れた際、誰かに不正に使用されてしまわない様、スマートフォンやタブレットはパスワードロック機能を必ず有効にし、ロックまでの待ち時間を1分程度の短い時間で設定しましょう。
|
3.
|
[セキュリティアプリの導入] (ご参考:1、5、6)
不正アプリの被害以外では、正規のアプリ名に似せた偽のアプリをインストールしてしまうことでウイルスの感染被害に遭ってしまう場合があります。こうした被害に遭わない様に、Android OSのスマートフォンやタブレットをお使いの利用者は、ウイルス感染の可能性をより低減するためにセキュリティアプリを導入してください。セキュリティアプリを入れて最新の状態に保っておくと、ウイルスの感染を事前に食い止められる場合があります。
|
(ご参考)
情報セキュリティ 安心相談窓口
http://www.ipa.go.jp/security/anshin/
ウイルス対策トップページ
http://www.ipa.go.jp/security/isg/virus.html
不正アクセス対策トップページ
http://www.ipa.go.jp/security/fusei/ciadr.html
更新履歴